Una estafa por correo electrónico de larga duración conocida como el engaño “Hola pervertido” ha resurgido, utilizando un lenguaje y un diseño actualizados para asustar a las víctimas para que paguen dinero. Los investigadores de seguridad dicen que esta campaña de extorsión se propaga a través de la distribución masiva de correo electrónico y se basa completamente en la manipulación psicológica en lugar de la piratería real.
Los correos electrónicos suelen llegar a la bandeja de entrada de una persona con una línea de asunto diseñada para sorprender. Luego, el correo electrónico afirma que el remitente ha obtenido acceso a la computadora o teléfono inteligente del destinatario y lo ha grabado usando su cámara web. El supuesto atacante amenaza con enviar estas imágenes a amigos, familiares o empleadores a menos que se pague un rescate en criptomonedas en un corto período de tiempo.
Lo que hace que la estafa sea efectiva es su apariencia de autenticidad técnica. En la mayoría de los casos, el correo electrónico parece haber sido enviado desde la propia dirección de la víctima. Esto se logra a través de una técnica simple llamada suplantación de correo electrónico, donde la dirección del remitente se falsifica para que parezca idéntica a la del destinatario. El efecto está destinado a convencer al objetivo de que su cuenta se ha visto comprometida.
Afirmaciones falsas de infección del dispositivo
El cuerpo del mensaje generalmente contiene declaraciones alarmantes que suenan técnicas. El estafador puede afirmar haber instalado software espía o una herramienta de acceso remoto como Pegasus o njRAT en la computadora de la víctima. Alegan que este software les ha permitido registrar la actividad privada a través de la cámara, monitorear el historial de navegación y capturar pulsaciones de teclas o contraseñas.
Estas afirmaciones son completamente falsas. No hay evidencia de que los remitentes de estos mensajes tengan acceso real a los dispositivos de las víctimas. La misma plantilla de mensaje se envía a miles de direcciones de correo electrónico a la vez. Nada en el correo electrónico es específico del destinatario, excepto, en algunos casos, una contraseña reutilizada obtenida de una violación de datos antigua.
Este pequeño detalle es lo que a menudo convence a la gente de entrar en pánico. Incluir una contraseña antigua crea una falsa sensación de prueba. Muchas víctimas ven la contraseña, asumen que se ha producido un hackeo real e inmediatamente temen ser expuestas. En realidad, estas contraseñas están ampliamente disponibles a través de bases de datos públicas de violaciones o fugas de datos clandestinas.
Explotar el miedo y la vergüenza
La estafa funciona porque se dirige a las emociones humanas, no a la tecnología. El miedo a la vergüenza, la pérdida de reputación o el daño profesional puede hacer que las personas racionales actúen rápidamente. El lenguaje del estafador está diseñado para crear urgencia. Insisten en que la víctima debe pagar de inmediato o enfrentar la humillación, lo que refuerza la sensación de aislamiento que impide que las víctimas busquen asesoramiento.
La línea de asunto “Hola pervertido” es deliberada. Juega con la culpa y la vergüenza, independientemente de si el destinatario ha hecho algo comprometedor. La acusación en sí misma es suficiente para generar pánico, lo que lleva a algunos destinatarios a pagar el rescate exigido solo para evitar la posibilidad de exposición.
En la mayoría de los casos, la demanda de rescate es de entre varios cientos y varios miles de dólares, pagados a través de criptomonedas. Los mensajes a menudo incluyen una dirección de billetera Bitcoin y un temporizador de cuenta regresiva para aumentar el estrés. Los estafadores rara vez responden una vez que se envía el dinero y no hay evidencia de que exista una grabación real.
Por qué la estafa sigue propagándose
A pesar de ser una táctica antigua, esta estafa sigue circulando porque no cuesta casi nada enviarla y aún así produce resultados. Las campañas de correo electrónico masivo pueden llegar a millones de usuarios en un solo día. Incluso si solo una pequeña fracción de los destinatarios paga, los atacantes obtienen ganancias.
La estafa también evoluciona con el tiempo. Las versiones anteriores estaban mal escritas y llenas de errores ortográficos. Las variantes recientes utilizan un formato profesional, una gramática más limpia y descripciones técnicas más realistas. Algunos incluso hacen referencia a sistemas operativos específicos o herramientas antivirus para parecer legítimos.
Otra razón de la persistencia de la estafa es su profundidad psicológica. Las víctimas rara vez denuncian el incidente porque se sienten avergonzadas o creen que son las únicas atacadas. Este silencio permite a los estafadores seguir operando sin ser detectados.
Reconocer los signos de los correos electrónicos de sextorsión
Hay señales consistentes de que un correo electrónico es parte de esta estafa. Los indicadores más comunes incluyen:
- El mensaje dice ser de su propia dirección de correo electrónico.
- Comienza con una frase acusatoria como “Hola pervertido” o “Sé lo que hiciste”.
- Menciona el spyware o el acceso a la cámara web sin ofrecer ninguna evidencia específica.
- Exige el pago en criptomonedas en un plazo corto.
- Incluye una contraseña antigua que puede haber sido utilizada años antes.
- No contiene detalles de identificación más allá de lo que podría haberse tomado de una fuga de datos.
Comprender estos rasgos ayuda a los usuarios a separar los hechos del miedo. Si un correo electrónico contiene estos elementos, es casi seguro que se trata de un engaño masivo, no de un hackeo dirigido.
Cómo deben responder las víctimas
El paso más importante es mantener la calma y evitar interactuar con el remitente. Responder confirma que tu cuenta de correo electrónico está activa, lo que puede invitar a una mayor orientación. Las víctimas nunca deben pagar el rescate ni intentar negociar. Pagar no garantiza que la amenaza se detenga y puede alentar al atacante a regresar.
A continuación, es recomendable cambiar las contraseñas de todas las cuentas, especialmente si el mensaje incluye una contraseña que todavía está en uso. Habilite la autenticación multifactor siempre que sea posible y evite reutilizar contraseñas en varios servicios.
También es importante denunciar el correo electrónico al departamento de abuso del proveedor y a la policía local. Si bien las autoridades no pueden recuperar los fondos perdidos, pueden rastrear patrones de estafa recurrentes y bloquear dominios relacionados. Reenviar el mensaje a un centro nacional de ciberseguridad o a una agencia de informes de fraude también puede ayudar a mejorar la inteligencia de amenazas.
Si existe la preocupación de que se haya producido una violación real, ejecute un análisis de malware utilizando un software de seguridad de buena reputación. En la mayoría de los casos, no se encontrará ninguna infección, pero confirmar que su sistema está limpio puede brindarle tranquilidad.
El papel de la conciencia en línea
Esta estafa destaca la facilidad con la que el miedo puede anular el pensamiento crítico. Las campañas de sensibilización pública son esenciales para la prevención. La gente debe entender que los estafadores confían en las emociones humanas universales, el miedo, la culpa y el pánico, en lugar de sofisticadas habilidades de piratería.
Los profesionales de la seguridad aconsejan a los usuarios que traten todas las amenazas no solicitadas con escepticismo. Las autoridades genuinas no emiten chantajes por correo electrónico, y las alertas de seguridad legítimas nunca exigen pagos en criptomonedas.
En los lugares de trabajo, la capacitación en concientización sobre ciberseguridad debe incluir ejemplos de estafas de sextorsión. Los empleados que saben qué esperar tienen menos probabilidades de caer en tácticas de intimidación. Las organizaciones también deben recordar al personal que es seguro denunciar mensajes sospechosos sin temor a la vergüenza.
La importancia de la higiene digital
Los buenos hábitos en línea pueden reducir significativamente la exposición a las estafas. Evite compartir datos de contacto personales públicamente y use contraseñas únicas para cada cuenta. Mantenga el software actualizado, ya que las vulnerabilidades en los clientes de correo electrónico o los navegadores pueden hacer que los mensajes falsificados sean más convincentes.
Otro paso práctico es verificar si la información personal ha sido expuesta en una violación de datos conocida. Servicios como Have I Been Pwned permiten a los usuarios verificar si su correo electrónico o contraseña ha aparecido en bases de datos filtradas. Si es así, esas credenciales deben cambiarse de inmediato.
Finalmente, los usuarios pueden cubrir las cámaras web cuando no están en uso. Si bien la estafa en sí rara vez implica una grabación real, las precauciones físicas pueden ayudar a generar tranquilidad y proteger contra riesgos de privacidad no relacionados.